Welche Systeme sind von Netlogon RPC Sealing betroffen?

Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025

Netlogon RPC Sealing

Q: Was passiert ohne Maßnahme bei Netlogon RPC Sealing?

Samba-Domänenmitglieder < 4.17.5 verlieren die Domänenmitgliedschaft. Nicht-Windows-Geräte mit Netlogon ohne RPC-Sealing verlieren ihren Secure Channel.

Q: Welche Maßnahmen sind für Netlogon RPC Sealing empfohlen?

Samba auf Version 4.17.5+ aktualisieren. Alle Nicht-Windows-Domänenmitglieder auf RPC-Sealing-Unterstützung prüfen.

RPC-Sealing auf dem Netlogon Secure Channel vollständig erzwungen. Samba < 4.17.5 verliert Domänenmitgliedschaft.

HochErzwungenNetlogon

Phasen-Verlauf

8. November 2022

Kompatibilitätsmodus

RPC-Sealing erzwungen, aber per Registry deaktivierbar.

11. April 2023

RequireSeal=0 entfernt

Deaktivierung (RequireSeal=0) nicht mehr möglich. Minimum ist Kompatibilitätsmodus.

11. Juli 2023

Vollständige ErzwingungErzwungen

Kompatibilitätsmodus (RequireSeal=1) entfernt. Nur noch Enforcement (RequireSeal=2). Kein Opt-out.

Betroffene Systeme

Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

Betroffene Features

Netlogon
Secure Channel
Domänenmitgliedschaft
Samba-Integration

Was passiert ohne Maßnahme

Samba-Domänenmitglieder < 4.17.5 verlieren die Domänenmitgliedschaft. Nicht-Windows-Geräte mit Netlogon ohne RPC-Sealing verlieren ihren Secure Channel.

Empfohlene Maßnahme

Samba auf Version 4.17.5+ aktualisieren. Alle Nicht-Windows-Domänenmitglieder auf RPC-Sealing-Unterstützung prüfen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

RequireSeal

Event-IDs zur Überwachung

5838

Netlogon

Client verwendet RPC-Signing statt RPC-Sealing

5839

Netlogon

Trust verwendet RPC-Signing statt RPC-Sealing

5840

Netlogon

Secure Channel mit schwacher Kryptographie (RC4) erstellt

Referenzen

Zurück zur Security Timeline